Analiza urządzeń mobilnych – karta SIM
Transkrypt
Analiza urządzeń mobilnych – karta SIM
Rola informatyki śledczej w rozwiązywaniu zagadek kryminalistycznych Autor: Bernadetta Stachura-Terlecka Definicja Informatyka Śledcza to jedna z dziedzin nauk sądowych mająca na celu dostarczyć dowodów cyfrowych na popełnione przestępstwa lub nadużycia nie tylko komputerowe. Definicja dowodu elektronicznego „Dowód elektroniczny to informacje zapisane na nośnikach posiadające cechy charakterystyczne i przez to wymagające specjalnego podejścia.” Cechami charakterystycznymi dowodu, a zarazem jego wadami i zaletami są: Możliwość klonowania nośników, Ostatnią cechą dowodu elektronicznego jest rozproszenie. Duża łatwość modyfikacji informacji elektronicznej, Zastosowanie informatyki śledczej. Informatyka śledcza ma swoje zastosowanie nie tylko w przypadku przestępstw komputerowych ale również w tradycyjnych przestępstwach. W przypadku tradycyjnych przestępstw możemy wyróżnić trzy typy spraw: Sprawy z powództwa cywilnego, Sprawy kryminalne, Sprawy o przestępstwa skarbowe. Problemy spotykane podczas analizy urządzeń • Lokalizacja telefonu komórkowego na podstawie jego użytkowania, • nowe struktury i systemy plików, usługi przechowywania danych, urządzenia peryferyjne, złącza czy kable, • Pojemność urządzeń rośnie, dzięki zapotrzebowaniu na coraz mocniejsze urządzenia typu „mini komputer”, • Nie tylko typy danych ewoluują, ale także sposób, w jaki urządzenia mobilne są wykorzystywane, • Czas potrzebny na analizę dysków twardych komputera, • Szyfrowane systemy plików, • Systemy synchronizowane (chmury np. apple). Typu przejęcia danych informatyce śledczej • • • • Pozyskanie ręczne, Pozyskanie logiczne, Przejęcie systemu plików, Fizyczne przejęcie, Przykłady oprogramowania wykorzystywanego w informatyce śledczej. Oprogramowanie służące do robienia zrzutów pamięci ulotnej: LiME, /dev/Cash, Mac Memory Reader, ForensicToolkit (FTK), Win32dd , Windows Memory Reader, En-case, Helix, X-Ways, Oprogramowanie służące do analizy dysków to między innymi: Internet Examiner 3.8.18 (niestety wersja demo nie radzi sobie z wyszukiwaniem danych na dyskach powyżej 80GB i po kilku godzinach działania zawiesza się), Internet Evidence Finder v6.0 (sposób działania pokazany jest w części praktycznej dotyczącej analizy Social Forensic). Oprogramowanie służące do analizy urządzeń mobilnych: Micro Systemation XRY, MOBILedit! Forensic, DOBRE PRAKTYKI Informatyka śledcza jak i inne gałęzie nauk sądowych jest dziedziną mającą na celu dostarczenie dowodów przy czym dowody te mają czysto charakter danych elektronicznych. Aby jednak móc mówić o dobrych praktykach w rozumieniu zbierania, analizowania, przechowywania i niszczenia dowodów elektronicznych należy zdefiniować czym taki dowód jest. Dobre praktyki Wszystkie zasady zawarte w dobrych praktykach pokazują w jaki sposób zadbać o dwie najważniejsze cechy dowodu elektronicznego czyli o wierność i autentyczność. Wierność dowodu elektronicznego to możliwość sprawdzenia czy materiał w czasie analiz i zabezpieczania nie został zmieniony. Autentycznością zaś nazywamy bezsporność co do źródła pochodzenia dowodu elektronicznego. Każdy zabezpieczony sprzęt (w tym nośnik danych) musi być dokładnie opisany z uwzględnieniem jego charakterystycznych cech oraz wykonaniem zdjęć. Opisanie dowodu musi być zrobione w taki sposób aby nie było wątpliwości co do jego pochodzenia i konfiguracji. Po udokumentowaniu dowodu należy go zaplombować. Dowód elektroniczny należy zachować w stanie z chwili zabezpieczenia (czyli jeśli np. telefon został zabezpieczony jako włączony to w takim stanie ma on pozostać). W protokole trzeba odnotować dokładną datę i czas zabezpieczenia sprzętu. W przypadku, gdy istnieje konieczność zatrzymania danych z pominięciem sprzętu komputerowego należy wykonać kopię binarną czyli kopię utworzoną na zasadzie równości z oryginałem. Dobre praktyki Kolejnym krokiem na trasie naszych dobrych praktyk zajmuje weryfikacja integralności materiału dowodowego. W zasadzie możemy osiągnąć go poprzez wyliczenie sumy kontrolnej nośnika. Jak już wielokrotnie wcześniej wspominałam wszystkie badania, analizy itp. muszą być przeprowadzane w miarę możliwości na kopii binarnej danych a nie na oryginalnym dowodzie. Jeśli jednak zajdzie konieczność prowadzenia badań na oryginalnym nośniku wszystkie operacje należy przeprowadzać z wykorzystaniem urządzenia uniemożliwiającego wprowadzenie zmian w dowodzie elektronicznym tzw. brokerów. PRZYKŁAD DZIAŁANIA OPROGRAMOWANIA DO ANALIZY URZĄDZEŃ MOBILNYCH XRY Analiza urządzeń mobilnych – karta SIM Numer centrum smsów SMSC SCA dla telefonu w sieci Orange Sprawdzenie czy smses jest fałszywy W sieci istnieją bramki sms umożliwiające przesłanie smsa którego nadawcą jest podany przez nas numer. Dzięki informacji o numerze centrum sms możemy podejrzewać,że sms został / nie został faktycznie wysłany przez nadawcę.